免疫網(wǎng)絡(luò)解決方案

中國誠通集團(tuán)免疫網(wǎng)絡(luò)解決方案第10頁免疫網(wǎng)絡(luò)解決方案方案提供：北京欣全向科技有限公司

目錄前言 2第一章 現(xiàn)狀與需求分析 3第二章 方案設(shè)計原理 4一、實用性與先進(jìn)性 4二、開放性與標(biāo)準(zhǔn)化 5三、可靠性與安全性 5四、經(jīng)濟(jì)性和擴(kuò)充性 5第三章 方案說明 5一、 方案選型 5二、 方案拓?fù)浣Y(jié)構(gòu) 6三、 免疫網(wǎng)絡(luò)解決方案的組成 6四、 方案詳細(xì)描述 74.1方案部署描述 74.2方案實施后對現(xiàn)有網(wǎng)絡(luò)的改善 74.3方案實施后對企業(yè)的價值體現(xiàn) 9第四章方案報價和售后服務(wù)前言二十世紀(jì)末，“信息革命”引發(fā)全球范圍內(nèi)科學(xué)技術(shù)的日常生活的深刻變革。隨著網(wǎng)絡(luò)技術(shù)的突飛猛進(jìn)，電腦和互聯(lián)網(wǎng)的廣泛應(yīng)用，單位內(nèi)部網(wǎng)絡(luò)規(guī)模日益龐大，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)日趨復(fù)雜，網(wǎng)絡(luò)安全性要求也變得越來越高，這使得網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全問題開始逐漸重要起來，日益引起網(wǎng)絡(luò)管理人員、單位領(lǐng)導(dǎo)、甚至政府的高度重視。怎樣保證網(wǎng)絡(luò)的安全和業(yè)務(wù)安全呢？首先要有一個可靠的網(wǎng)絡(luò)，其次就是要有強(qiáng)有力的網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全手段。目前許多網(wǎng)絡(luò)管理員憑借自己的學(xué)識和經(jīng)驗進(jìn)行網(wǎng)絡(luò)和安全和管理，但隨著單位網(wǎng)絡(luò)規(guī)模的日益壯大，這種管理方法已經(jīng)不能適應(yīng)當(dāng)前的需求。因此，我們必須借助一些完整的技術(shù)方案對整個網(wǎng)絡(luò)進(jìn)行安全管理。網(wǎng)絡(luò)無處不在，并且隨著科技的發(fā)展、建設(shè)投入的加大，越來越深入到每一個人的生活、工作、學(xué)習(xí)、娛樂等活動中。網(wǎng)絡(luò)如同一把雙刃劍，給我們提供各種便利和幫助的同時，也給我們自身的網(wǎng)絡(luò)安全帶來挑戰(zhàn)。用得好將大大方便于我們的各種需求，用得不好，也可能給自己帶來安全的隱患。我們需要在充分利用網(wǎng)絡(luò)便利性的同時，又要保證自身的網(wǎng)絡(luò)和信息安全。在討論網(wǎng)絡(luò)安全管理時，我們將網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng)兩個部分，其中外網(wǎng)又包括國際互聯(lián)網(wǎng)和與本單位相聯(lián)的外單位相聯(lián)的外單位網(wǎng)絡(luò)。通常情況下，在各網(wǎng)絡(luò)之間，我們通常采用諸如firewall過濾、CA認(rèn)證、VPN加密或隔離卡物理隔離等安全技術(shù)措施來防范“黑客”的攻擊。而內(nèi)網(wǎng)的安全性問題，較上述內(nèi)外網(wǎng)間的安全性問題，更為復(fù)雜棘手。IT象一把銳利的武器，運用得當(dāng)使使用者獲利，運用不當(dāng)會讓使用者業(yè)務(wù)流失。而IT應(yīng)用管理中的“效率”與“效益”仍是永遠(yuǎn)的主題，也只有抓住這個核心，才能在管理思想層出不窮的今天實現(xiàn)形式和內(nèi)容的完美結(jié)合。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，所應(yīng)用服務(wù)的日益增多，以及對Internet應(yīng)用需求的與日俱增，在網(wǎng)絡(luò)信息化安全管理方面，針對交換網(wǎng)絡(luò)的安全管理提出了更多的實在而迫切的要求。在目前復(fù)雜的網(wǎng)絡(luò)環(huán)境中，由老三樣（防火墻、入侵監(jiān)測和病毒防范）為主要構(gòu)成的傳統(tǒng)信息安全系統(tǒng)，是以防外為重點，而與目前信息安全主要“威脅”源自內(nèi)部的實際狀況不相符合。內(nèi)部容易產(chǎn)生問題的根本就是交換網(wǎng)絡(luò)不可管不可控，那么真正可以實現(xiàn)企業(yè)信息化建設(shè)前提就是讓交換網(wǎng)絡(luò)變的可管可控。現(xiàn)狀與需求分析公司的大部分業(yè)務(wù)都依賴于網(wǎng)絡(luò)，所以一直非常重視網(wǎng)絡(luò)信息的安全管理與運作。但是在信息化應(yīng)用多樣化的現(xiàn)階段，對網(wǎng)絡(luò)依賴非常高的一個信息網(wǎng)絡(luò)，網(wǎng)絡(luò)安全存在一塊很大的空白，就是針對交換網(wǎng)絡(luò)的安全和管理。由于目前沒有在交換網(wǎng)絡(luò)上去做安全管控，因此對企業(yè)產(chǎn)生了一些“致命”的安全隱患隱患：缺乏完整的內(nèi)部安全防護(hù)體系。一個大型計算機(jī)網(wǎng)絡(luò)的整體安全體系包括網(wǎng)絡(luò)邊界安全、網(wǎng)絡(luò)內(nèi)部安全和人為因素等多個方面，通過在網(wǎng)絡(luò)邊界部署接入控制、入侵檢測等系統(tǒng)可以有效地將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔絕。但是對內(nèi)而言還處于基本不設(shè)防的狀況，內(nèi)部安全管理工作缺乏有效的技術(shù)手段。內(nèi)網(wǎng)基層設(shè)施齊全，但是缺少統(tǒng)一管理機(jī)制和實現(xiàn)統(tǒng)一管理的方案，不能及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的問題，更不能監(jiān)控到網(wǎng)絡(luò)的使用情況，帶寬的使用情況。在出現(xiàn)帶寬堵塞的情況下，（如：病毒爆發(fā)或其中的一臺終端機(jī)中毒，發(fā)出大量的TCP和UDP的數(shù)據(jù)包），大量的異常網(wǎng)絡(luò)流量全部會聚到核心層交換機(jī)，但因地理位置等原因管理人員無法即時控制病毒的蔓延，從而導(dǎo)致網(wǎng)絡(luò)工程師們在出現(xiàn)問題時來不及補(bǔ)救，使整個網(wǎng)絡(luò)系統(tǒng)成癱瘓狀態(tài)。導(dǎo)致公司的重要業(yè)務(wù)平臺無法使用，造成重大的經(jīng)濟(jì)損失！網(wǎng)絡(luò)安全管理的基礎(chǔ)工作較薄弱，各類網(wǎng)絡(luò)基礎(chǔ)信息采集不全。大型計算機(jī)網(wǎng)絡(luò)的管理應(yīng)該以基礎(chǔ)網(wǎng)絡(luò)的管理為核心，信息管理中心如果對所管轄網(wǎng)絡(luò)的用戶狀況難以掌握的話，對整個網(wǎng)絡(luò)的管理工作也就無從談起，在發(fā)生網(wǎng)絡(luò)違規(guī)事件時也很難及時將問題定位到具體的用戶。依靠IP地址作為網(wǎng)絡(luò)上的身份標(biāo)識，很容易造成混亂。IP地址是網(wǎng)絡(luò)連接協(xié)議TCP/IP的基礎(chǔ)，是一個邏輯地址，可以任意更改。如果身份相同導(dǎo)致了沖突的現(xiàn)象，造成無法正常使用網(wǎng)絡(luò)連接，就會影響正常業(yè)務(wù)工作的開展。難以監(jiān)控外來用戶的計算機(jī)接入內(nèi)網(wǎng)。內(nèi)網(wǎng)的計算機(jī)，應(yīng)該是專門用于完成業(yè)務(wù)工作且經(jīng)過認(rèn)可的計算機(jī)。但是存在著用戶利用這些計算機(jī)設(shè)備進(jìn)行其他活動，或使用未經(jīng)確認(rèn)許可的計算機(jī)接入內(nèi)網(wǎng)的可能性，管理人員對這些情況難以進(jìn)行監(jiān)視和控制。網(wǎng)管人員缺少利器，出現(xiàn)問題很多情況下都需要利用傳統(tǒng)手段去排查，即使查到又缺乏技術(shù)手段去控制，所以效率和業(yè)績都會大打折扣依賴共享的局域網(wǎng)，毫無隱私可談，企業(yè)聊天、網(wǎng)銀交易、郵件收發(fā)、等內(nèi)容，在局域網(wǎng)里可以被任意一個終端所嗅探竊取，企業(yè)利益將受重創(chuàng)。上述隱患的存在，可能會造成機(jī)密信息外泄、影響正常業(yè)務(wù)進(jìn)行等多種嚴(yán)重的后果。究其根本原因，是交換網(wǎng)絡(luò)的不可管不可控。因此，建立一整完整的交換網(wǎng)絡(luò)安全管理手段，對于提高全網(wǎng)的安全性和穩(wěn)定可靠性具有重要意義。需求：對以太網(wǎng)通信協(xié)議進(jìn)行深入管理：發(fā)生在以太網(wǎng)2、3層的協(xié)議攻擊，大量消耗網(wǎng)絡(luò)設(shè)備資源，甚至導(dǎo)致網(wǎng)絡(luò)設(shè)備癱瘓。無論多高性能的以太網(wǎng)設(shè)備，都不可能有效應(yīng)付。所以首先要保證對協(xié)議進(jìn)行深入管理防止被攻擊導(dǎo)致設(shè)備癱瘓。對網(wǎng)絡(luò)成員進(jìn)行嚴(yán)格身份控制：以IP、MAC為基礎(chǔ)的網(wǎng)絡(luò)身份，能夠被輕易偽造和篡改，對網(wǎng)絡(luò)安全和管理形成危害。所以要求有基因式的管理確定身份的唯一性，才可以保證網(wǎng)絡(luò)穩(wěn)定全網(wǎng)數(shù)據(jù)流量和流向的帶寬管理：以太網(wǎng)是基于共享的網(wǎng)絡(luò)，對數(shù)據(jù)通信的流量和流向沒有做嚴(yán)格管理，網(wǎng)絡(luò)的安全穩(wěn)定不可控制?，F(xiàn)有的帶寬管理設(shè)備，多數(shù)是針對IP的帶寬管理，而且部署在緊靠接入的位置，無法實現(xiàn)在交換網(wǎng)絡(luò)內(nèi)部，各終端和各節(jié)點之間精細(xì)的帶寬管理。因此，交換網(wǎng)絡(luò)內(nèi)部依然充斥大量無效數(shù)據(jù)，降低網(wǎng)絡(luò)通信效能。所以技術(shù)要求對每一臺終端、服務(wù)器、交換機(jī)級聯(lián)口、子網(wǎng)連接、接入網(wǎng)關(guān)、關(guān)鍵訪問節(jié)點等進(jìn)行帶寬的管理，對他們之間的數(shù)據(jù)流量流向做設(shè)定。從而實現(xiàn)對網(wǎng)絡(luò)傳輸全面化、精細(xì)化、智能化的管理，構(gòu)造純凈的交換網(wǎng)絡(luò)環(huán)境。全網(wǎng)實時中心監(jiān)控：可以監(jiān)控底層協(xié)議、終端身份、實時流量等網(wǎng)絡(luò)信息并且能做到故障點精準(zhǔn)定位，靈活的安全策略定制與分發(fā)：2、3層協(xié)議的管控力度、終端流量流向的設(shè)定、干預(yù)條件、執(zhí)行方式等等，都可以按需進(jìn)行設(shè)定和組合。全面的網(wǎng)絡(luò)審計、統(tǒng)計和分析功能：對流量歷史、訪問記錄、帶寬使用效率、故障事件直至每一個IP的訪問痕跡等，都進(jìn)行完整的記錄統(tǒng)計。調(diào)閱分析記錄，可以幫助管理員對網(wǎng)絡(luò)規(guī)劃作出判斷，作出合理有效的調(diào)整。保證企業(yè)重要業(yè)務(wù)平臺能正常運行。禁止或只允許瀏覽的指定網(wǎng)站方案設(shè)計原理一、實用性與先進(jìn)性在網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計中，首先要考慮的是實用性和易于操作性、易于管理和維護(hù)，易于操作人員掌握和學(xué)習(xí)使用。采用技術(shù)成熟的網(wǎng)絡(luò)、通信技術(shù)和設(shè)備，同時要考慮對現(xiàn)有設(shè)備和資源的充分利用，保護(hù)原有投資。當(dāng)前計算機(jī)技術(shù)發(fā)展迅速，新的設(shè)備不斷涌現(xiàn)并趨于成熟，在滿足實用性的基礎(chǔ)上，起點要高，應(yīng)盡量選用先進(jìn)的技術(shù)及設(shè)備，將網(wǎng)絡(luò)安全系統(tǒng)的技術(shù)水平定位在一個較高的層次上，以適應(yīng)新世紀(jì)的需要。二、開放性與標(biāo)準(zhǔn)化在總體設(shè)計中，應(yīng)采用開放式的結(jié)構(gòu)，使網(wǎng)絡(luò)易于擴(kuò)充。使相對獨立的分系統(tǒng)易于組合調(diào)整。當(dāng)外界環(huán)境改變時，系統(tǒng)可不作修改或小量修改就能在新的環(huán)境下運行。選用的通信協(xié)議和設(shè)備要符合國際標(biāo)準(zhǔn)或工業(yè)標(biāo)準(zhǔn)，使網(wǎng)絡(luò)的硬件環(huán)境、通訊環(huán)境、軟件環(huán)境、操作平臺之間的依賴減至最小，同時，要保證網(wǎng)絡(luò)的互聯(lián)，為信息的互通和應(yīng)用創(chuàng)造有利的條件。三、可靠性與安全性系統(tǒng)安全可靠是整個系統(tǒng)建設(shè)的基礎(chǔ)。整個系統(tǒng)要求有較高的可靠性，各級子系統(tǒng)應(yīng)有相應(yīng)的監(jiān)督和管理能力，要適當(dāng)考慮關(guān)鍵設(shè)備和線路的冗余，能夠進(jìn)行在線修復(fù)、更換和擴(kuò)充。要確保系統(tǒng)和數(shù)據(jù)傳輸?shù)恼_性，以及異常情況所必須的保護(hù)性設(shè)施。四、經(jīng)濟(jì)性和擴(kuò)充性IT信息中心系統(tǒng)的建設(shè)，要從經(jīng)濟(jì)性著眼，在完成系統(tǒng)目標(biāo)的基礎(chǔ)上，力爭用最少的錢辦最多的事。建成的系統(tǒng)必須具有良好的可擴(kuò)充性和升級能力，為整個系統(tǒng)以后的發(fā)展打好基礎(chǔ)。方案說明方案選型結(jié)合公司的網(wǎng)絡(luò)情況，由于交換網(wǎng)絡(luò)的不可管不可控，導(dǎo)致的網(wǎng)絡(luò)問題只有免疫墻技術(shù)可以解決，此方案是唯一可以做到利用免疫墻技術(shù)把交換網(wǎng)絡(luò)實現(xiàn)可管可控的最佳方案，是保障企業(yè)網(wǎng)絡(luò)信息化建設(shè)穩(wěn)定發(fā)展的有力技術(shù)后盾。方案拓?fù)浣Y(jié)構(gòu)免疫網(wǎng)絡(luò)解決方案的組成免疫網(wǎng)絡(luò)解決方案不是一個單獨的產(chǎn)品，而是一套由軟硬件、內(nèi)網(wǎng)安全協(xié)議、安全策略構(gòu)成的完整組件。主要組件包括：終端驅(qū)動：中間層驅(qū)動和CWALL，他負(fù)責(zé)為欲發(fā)送的數(shù)據(jù)包加入免疫標(biāo)記，并計算校驗和，重新封裝；負(fù)責(zé)抓取本終端真實的物理信息，申告到運營中心；負(fù)責(zé)對網(wǎng)內(nèi)的關(guān)鍵身份進(jìn)行基因式綁定；負(fù)責(zé)免疫策略的執(zhí)行；負(fù)責(zé)免疫通信協(xié)議的應(yīng)答和策略接受，等等工作。接入網(wǎng)關(guān)：在接入和轉(zhuǎn)發(fā)過程中，要核查每一個請求的發(fā)起者的免疫身份，并按照免疫策略的要求進(jìn)行動作。在數(shù)據(jù)的收發(fā)過程中，要對發(fā)起和回復(fù)做數(shù)據(jù)請求和身份的一一核對，實現(xiàn)先天免疫。要與免疫墻服務(wù)器實時數(shù)據(jù)交互，對免疫策略做出反應(yīng)。免疫墻服務(wù)器：免疫墻服務(wù)器由運行服務(wù)器、配置中心、監(jiān)控中心、WEB服務(wù)器等組成。WEB服務(wù)器為非免疫身份成員提供免疫驅(qū)動下載安裝，發(fā)送公告；配置中心維護(hù)安全策略并分發(fā)給各免疫單元；監(jiān)控中心進(jìn)行全網(wǎng)監(jiān)控、顯示、告警和允許人工干預(yù)，并形成日志審計和記錄；運營中心24小時不間斷統(tǒng)籌全網(wǎng)，指揮調(diào)度。免疫通信協(xié)議：由基于SSH的連接協(xié)議、基于TCP\UDP的心跳握手協(xié)議、數(shù)據(jù)接口協(xié)議等一整套協(xié)議組成。免疫通信協(xié)議是一個加密的協(xié)議，命令格式、內(nèi)容、協(xié)議過程等都是不開放的，屬于私有的協(xié)議。這是出自安全的需要。方案詳細(xì)描述4.1方案部署描述部署方式極為靈活，無需改變公司的網(wǎng)絡(luò)結(jié)構(gòu)，在原有的網(wǎng)絡(luò)結(jié)構(gòu)上可以直接部署，首先接入層部署免疫墻網(wǎng)關(guān)，免疫墻網(wǎng)關(guān)支持nat、路由、橋、旁路等模式，內(nèi)網(wǎng)的pc機(jī)和服務(wù)器可以執(zhí)行強(qiáng)制自動安裝免疫上網(wǎng)驅(qū)動，也可以根據(jù)特殊需求手動安裝免疫上網(wǎng)驅(qū)動，控制方式可以直接通過web界面去管控，極為簡單，完全人性化的操作界面，操作幾遍就可以靈活掌握，便于網(wǎng)絡(luò)管理人員管理。4.2方案實施后對現(xiàn)有網(wǎng)絡(luò)的改善1、網(wǎng)絡(luò)擴(kuò)展性強(qiáng)，未來增加外線可以實現(xiàn)接入帶寬匯聚，線路備援；采用第四代多WAN技術(shù)和身份綁定技術(shù)，全面進(jìn)行接入部分的多線帶寬匯聚，一臺電腦上網(wǎng)同時使用多條接入線路帶寬，互聯(lián)網(wǎng)應(yīng)用訪問速度大幅提高。多條接入線路的策略使用使得當(dāng)某一條線路出現(xiàn)問題時，能及時選擇其它正常線路進(jìn)行網(wǎng)絡(luò)訪問，網(wǎng)絡(luò)帶寬有了多條安全備援，接入穩(wěn)定性大幅提高。2、全網(wǎng)終端（業(yè)務(wù)訪問終端和公網(wǎng)訪問終端）網(wǎng)絡(luò)攻擊防御和攔截（ITP）；對已知攻擊驗證有效的種類：ARP欺騙、ARP洪水、骷髏頭、CAM攻擊、IP欺騙、虛假IP、虛假MAC、IP分片、DDoS攻擊、超大Ping包、格式錯誤數(shù)據(jù)、發(fā)包頻率超標(biāo)等等。3、全網(wǎng)終端免疫安全策略（IASP）執(zhí)行，全面的深度防御做到源頭抑制（DDSC）；基于二層、三層及四層的現(xiàn)有策略組合，能夠根據(jù)協(xié)議行為的規(guī)范以及與接入網(wǎng)關(guān)、運營中心的聯(lián)動，應(yīng)付未知攻擊或攻擊組合，具有主動防御能力。通過對免疫四、安全策略的調(diào)整定制，還能夠有效針應(yīng)對未來的攻擊；4、策略可靈活定制便于網(wǎng)管人員靈活管理：免疫安全策略、行為管理策略、訪問控制策略、上網(wǎng)時間策略、流量管理策略、內(nèi)網(wǎng)防火墻策略。網(wǎng)絡(luò)接入部分、網(wǎng)絡(luò)傳輸過程、終端電腦通過免疫安全協(xié)議全網(wǎng)設(shè)備安全聯(lián)動（APC）；欣全向?qū)Ｓ械膬?nèi)網(wǎng)安全協(xié)議，能夠使接入網(wǎng)關(guān)、終端群、運營中心、監(jiān)控中心等各種安全部件緊密配合，策略制定和策略下發(fā)、運行監(jiān)控、異常通報、策略執(zhí)行、人機(jī)互動等安全聯(lián)動功能保證應(yīng)對各種網(wǎng)絡(luò)突發(fā)事件。5、網(wǎng)關(guān)接入部分ARP先天免疫(IIAA)，杜絕ARP攻擊對網(wǎng)絡(luò)接入設(shè)備的影響；

在網(wǎng)關(guān)NAT過程中融合ARP先天免疫，無需綁定IP-MAC，確保網(wǎng)絡(luò)正常通信數(shù)據(jù)不受任何ARP欺騙攻擊干擾破壞。這是欣全向接入網(wǎng)關(guān)的獨有專利技術(shù)。終端ARP看守式綁定(HAAB)，保證了公網(wǎng)應(yīng)用和業(yè)務(wù)電腦HIS系統(tǒng)等的穩(wěn)定連通；

終端免疫驅(qū)動攔截ARP欺騙信息，從運營服務(wù)器獲取正確的網(wǎng)關(guān)信息并執(zhí)行看守式綁定，鎖定真實網(wǎng)關(guān)。與網(wǎng)關(guān)配合能夠探測并防范7種ARP攻擊。6、基因式終端身份管理(RHIC)，杜絕內(nèi)網(wǎng)身份偽造，保障公網(wǎng)和業(yè)務(wù)的身份可信；

通過對終端真實IP、物理MAC以及免疫封裝，對每一臺終端進(jìn)行嚴(yán)格的基因式身份管理。有效解決私改IP上網(wǎng)、二級路由下的終端偵測和管理、IP-MAC完全克隆，對終端身份控制從系統(tǒng)到封包等其他方案解決不了或解決不徹底的問題。強(qiáng)制安裝免疫驅(qū)動(IDIE)，公網(wǎng)訪問強(qiáng)制安全驅(qū)動安裝，保障終端安全；

終端除非被列入豁免名單，否則不安裝免疫驅(qū)動就不能上網(wǎng)。驅(qū)動的安裝過程完全自動化，免疫服務(wù)器提供下載，由終端用戶一鍵完成。它是一套對系統(tǒng)安全的驅(qū)動，有微軟認(rèn)證和數(shù)字簽名。7、分組策略(GP)，基于不同的分組進(jìn)行安全策略和帶寬策略的管理；

對全網(wǎng)終端實施分組管理，允許創(chuàng)建10個分組，可分別賦予不同的控制策略。策略實時調(diào)整、即時生效。8、全網(wǎng)監(jiān)測評估(WNSM)，隨時掌握公司網(wǎng)絡(luò)狀態(tài)、運行狀況；

全網(wǎng)工作狀況一目了然、盡收眼底。實時圖表直觀顯示帶寬的使用情況、終端詳細(xì)信息、終端網(wǎng)絡(luò)流量、網(wǎng)絡(luò)異常報警信息、網(wǎng)關(guān)運行日志等。9、攻擊源定位（取證）(NAD)，實時監(jiān)控報警和歷史日志記錄相結(jié)合；

通過實時流量、報警信息、運行日志及各終端運行狀態(tài)信息，實時了解網(wǎng)絡(luò)異常原因，準(zhǔn)確定位攻擊源。10、內(nèi)網(wǎng)終端集中控制(IHM)，細(xì)化到每一個終端的策略和網(wǎng)絡(luò)訪問管控；

網(wǎng)絡(luò)維護(hù)人員可在監(jiān)控中心的控制臺靈活調(diào)整每臺終端的安全策略，對異常終端可封鎖其網(wǎng)卡通信。11、全網(wǎng)終端（業(yè)務(wù)訪問終端和公網(wǎng)訪問終端）流量控制和統(tǒng)計；可對內(nèi)、外網(wǎng)的上、下載帶